এজ এসএসও ইনস্টল এবং কনফিগার করুন

প্রাইভেট ক্লাউড v4.18.01 এর জন্য এজ

Edge SSO মডিউল ইনস্টল এবং কনফিগার করার জন্য আপনাকে প্রথমে TLS কী এবং সার্টিফিকেটের দুটি সেট তৈরি করতে হবে। এজ এসএসও মডিউলটি SAML IDP-এর সাথে SAML হ্যান্ডশেকিং প্রক্রিয়ার অংশ হিসাবে তথ্যের সংক্রমণ সুরক্ষিত করতে TLS ব্যবহার করে।

দ্রষ্টব্য : ডিফল্টরূপে, এজ এসএসও মডিউলটি যে নোডে ইনস্টল করা আছে তার পোর্ট 9099-এ HTTP-তে অ্যাক্সেসযোগ্য। আপনি এজ SSO মডিউলে TLS সক্ষম করতে পারেন। এটি করার জন্য, আপনাকে TLS সমর্থন করার জন্য Tomcat দ্বারা ব্যবহৃত TLS কী এবং শংসাপত্রগুলির একটি তৃতীয় সেট তৈরি করতে হবে। আরও জানতে HTTPS অ্যাক্সেসের জন্য apigee-sso কনফিগার করুন দেখুন।

TLS কী এবং সার্টিফিকেট তৈরি করুন

নীচের পদক্ষেপগুলি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করে যা আপনার পরীক্ষার পরিবেশের জন্য ঠিক হতে পারে তবে আপনাকে সাধারণত একটি উত্পাদন পরিবেশের জন্য CA দ্বারা স্বাক্ষরিত শংসাপত্রের প্রয়োজন হয়।

যাচাইকরণ এবং স্বাক্ষর কী এবং স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > cd/opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > sudo openssl genrsa -out privkey.pem 2048
  4. > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
  5. > sudo chown apigee:apigee *.pem

SAML IDP-এর সাথে যোগাযোগের জন্য কোন পাসফ্রেজ ছাড়াই কী এবং স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করতে:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. > cd/opt/apigee/customer/application/apigee-sso/saml/
  3. একটি পাসফ্রেজ দিয়ে আপনার ব্যক্তিগত কী তৈরি করুন:
    > sudo openssl genrsa -aes256 -out server.key 1024
  4. কী থেকে পাসফ্রেজটি সরান:
    > sudo openssl rsa -in server.key -out server.key
  5. CA এর জন্য শংসাপত্র স্বাক্ষর করার অনুরোধ তৈরি করুন:
    > sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
  6. 365 দিনের মেয়াদ শেষ হওয়ার সময় সহ স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করুন:
    > sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
  7. > sudo chown apigee:apigee server.key
  8. > sudo chown apigee:apigee selfsigned.crt

আপনি যদি এজ SSO মডিউলে TLS সক্ষম করতে চান, SSO_TOMCAT_PROFILE কে SSL_TERMINATION বা SSL_PROXY তে সেট করে, আপনি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারবেন না৷ আপনাকে অবশ্যই একটি CA থেকে একটি শংসাপত্র তৈরি করতে হবে৷ আরও জানতে HTTPS অ্যাক্সেসের জন্য apigee-sso কনফিগার করুন দেখুন।

HTTP অ্যাক্সেসের জন্য Edge SSO ইনস্টল এবং কনফিগার করুন

এজ SSO মডিউল, apigee-sso ইনস্টল করতে, আপনাকে অবশ্যই একই প্রক্রিয়া ব্যবহার করতে হবে যা আপনি এজ ইনস্টল করতে ব্যবহার করেছিলেন। যেহেতু apigee-sso একটি RPM ফাইল দ্বারা প্রতিনিধিত্ব করা হয়, তার মানে ইনস্টল করা ব্যবহারকারীকে অবশ্যই রুট ব্যবহারকারী হতে হবে বা সম্পূর্ণ sudo অ্যাক্সেস আছে এমন ব্যবহারকারী হতে হবে। আরও জন্য এজ ইনস্টলেশন ওভারভিউ দেখুন।

ইনস্টলারকে একটি কনফিগারেশন ফাইল পাঠান। কনফিগার ফাইলের নিম্নলিখিত ফর্ম আছে:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

এজ এসএসও মডিউল ইনস্টল করতে:

  1. ম্যানেজমেন্ট সার্ভার নোডে লগ ইন করুন। সেই নোডটিতে ইতিমধ্যেই এপিজি-সার্ভিস ইনস্টল থাকা উচিত যেমন এজ অ্যাপিজি-সেটআপ ইউটিলিটি ইনস্টল করুন
    মনে রাখবেন যে আপনি একটি ভিন্ন নোডে এজ এসএসও ইনস্টল করতে পারেন। যাইহোক, সেই নোডটি অবশ্যই পোর্ট 8080 এর মাধ্যমে ম্যানেজমেন্ট সার্ভার অ্যাক্সেস করতে সক্ষম হবে।
  2. apigee-sso ইনস্টল এবং কনফিগার করুন:
    > /opt/apigee/apigee-setup/bin/setup.sh -p sso -f কনফিগার ফাইল

    যেখানে configFile উপরে দেখানো কনফিগার ফাইল।
  3. apigee-ssoadminapi.sh ইউটিলিটি ইনস্টল করুন যেটি apigee-sso মডিউলের জন্য অ্যাডমিন এবং মেশিন ব্যবহারকারীদের পরিচালনা করতে ব্যবহৃত হয়:
    /opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi ইনস্টল
  4. শেল থেকে লগ আউট করুন, এবং তারপরে আপনার পথে apigee-ssoadminapi.sh ইউটিলিটি যোগ করতে আবার লগ ইন করুন।

একটি URL এর পরিবর্তে একটি মেটাডেটা ফাইল নির্দিষ্ট করা

যদি আপনার IDP একটি HTTP/HTTPS মেটাডেটা URL সমর্থন না করে, তাহলে আপনি এজ SSO কনফিগার করতে একটি মেটাডেটা XML ফাইল ব্যবহার করতে পারেন:

  1. আপনার IDP থেকে Edge SSO নোডের একটি ফাইলে মেটাডেটা XML-এর বিষয়বস্তু অনুলিপি করুন। উদাহরণস্বরূপ, এখানে XML অনুলিপি করুন:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. ফাইলের মালিকানা apigee:apigee-এ পরিবর্তন করুন:
    > chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. পরম ফাইল পাথে SSO_SAML_IDP_METADATA_URL এর মান সেট করুন:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    আপনাকে অবশ্যই " file:// " এর সাথে ফাইল পাথের উপসর্গ দিতে হবে, তারপরে রুট (/) থেকে পরম পথটি অনুসরণ করতে হবে।